Rafel RAT
Siber casusluk grupları da dahil olmak üzere çeşitli tehdit aktörleri, Rafel RAT olarak bilinen açık kaynaklı bir Android Uzaktan Yönetim Aracını kullanıyor. Zararlı hedeflerine ulaşmak için onu Instagram, WhatsApp gibi popüler uygulamalar ve çeşitli e-ticaret ve kötü amaçlı yazılımdan koruma uygulamaları olarak gizlerler.
Rafel RAT, bu aktörlere uzaktan yönetim ve kontrol için güçlü bir araç seti sağlayarak veri hırsızlığı ve cihaz manipülasyonu gibi çeşitli hain faaliyetleri kolaylaştırır. Kapsamlı özellikleri arasında SD kartların silinmesi, çağrı kayıtlarının silinmesi, bildirimlerin ele geçirilmesi ve hatta fidye yazılımı olarak işlev görülmesi yer alıyor.
İçindekiler
Rafael RAT Çok Sayıda Saldırı Kampanyasında Tespit Edildi
Siber güvenlik uzmanları daha önce APT-C-35'in (aynı zamanda DoNot Team, Brainworm ve Origami Elephant olarak da bilinir) Rafel RAT'ının, Foxit PDF Reader'daki bir tasarım hatasından yararlanarak kullanıcıları tehdit edici yükleri indirmeye yönlendiren saldırılarda kullanıldığını vurgulamıştı. Nisan 2024'te gerçekleştirilen bu kampanyada, kötü amaçlı yazılımı dağıtmak için askeri temalı PDF yemleri kullanıldı.
Uzmanlar, Avustralya, Çin, Çekya, Fransa, Almanya, Hindistan, Endonezya, İtalya, Yeni Zelanda, Pakistan, Romanya, Rusya ve ABD gibi çeşitli ülkelerde, bazıları yüksek profilli varlıkları hedef alan yaklaşık 120 farklı zararlı kampanya tespit etti.
Kurbanların çoğunluğu Samsung telefonlara sahipken, onları Xiaomi, Vivo ve Huawei cihazları kullanıcıları takip ediyor. Özellikle, virüs bulaşan cihazların yaklaşık %87,5'i, artık güvenlik güncellemeleri almayan eski Android sürümlerini çalıştırıyordu.
Rafel RAT, Çok Çeşitli Hassas Verileri Riske Atabilir
Tipik saldırı zincirleri, kurbanları kötü amaçlı yazılım bulaşmış uygulamalara izinsiz izinler vermeleri için kandırmaya yönelik sosyal mühendislik taktiklerini içerir. Bu izinler, kötü amaçlı yazılımın diğer verilerin yanı sıra iletişim bilgileri, SMS mesajları (2FA kodları gibi), konum, çağrı kayıtları ve yüklü uygulamaların listeleri dahil olmak üzere hassas verileri toplamasına olanak tanır.
Rafel RAT, Komuta ve Kontrol (C2) iletişimleri için öncelikle HTTP(S) kullanıyor ancak aynı zamanda tehdit aktörleriyle iletişim kurmak için Discord API'lerini de kullanabiliyor. Ek olarak, kayıtlı kullanıcıların güvenliği ihlal edilmiş cihazlara komut vermek için kullanabileceği PHP tabanlı bir C2 paneline sahiptir.
Android Kullanıcıları Siber Suçluların Sık Hedefi Olmaya Devam Ediyor
Aracın farklı tehdit aktörleri üzerindeki etkinliği, İranlı olduğuna inanılan bir saldırganın gerçekleştirdiği fidye yazılımı operasyonuna dahil olmasıyla doğrulanıyor. Saldırgan, SMS aracılığıyla Arapça bir fidye notu göndererek Pakistan'daki bir kurbanın kendileriyle Telegram aracılığıyla iletişime geçmesini istedi.
Rafel RAT, açık kaynak tasarımı, kapsamlı özellik yelpazesi ve çeşitli yasa dışı faaliyetlerde kapsamlı dağıtımıyla öne çıkan, gelişen Android kötü amaçlı yazılım alanına örnek teşkil ediyor. Yaygın kullanımı, Android cihazları zararlı suiistimallerden korumak için sürekli dikkatin ve proaktif güvenlik önlemlerinin öneminin altını çiziyor.
